El envenenamiento ARP y la suplantación de IP son una forma de hacer esto con nada más que un nodo en la red.
En general, lo que terminas haciendo es hacerse pasar por el servidor de AD durante la negociación. Los detalles técnicos probablemente no sean interesantes en este contexto, pero si pretende ser el servidor de AD, puede hacer muchas cosas.
Una de estas cosas podría ser simular que solo se admite la autenticación NTLM y, por lo tanto, invocar un protocolo muy débil que implica pasar un hash muy débil que puedes descifrar en unas pocas horas en tu computadora portátil y, por lo tanto, recuperar contraseñas.
También puedes explotar una debilidad en Kerberos si tienes una, ya que la autenticación de enlace se puede hacer usando eso también. El otro método de autenticación que podría forzar sería digest-md5, que es más fuerte que NTLM, pero no demasiado.
Si es realmente bueno, puede pasar la autenticación al servidor de AD real y proceder al proxy (MitM) toda la comunicación entre el cliente y el servidor durante el tiempo que pueda mantener la parodia. Nadie se dará cuenta mucho. Sin embargo, Kerberos hace esto difícil.
Por lo tanto, a largo plazo, el atacante que haga esto podría recuperar hashes de contraseña y tiene la capacidad de influir en ellos para que sean muy débiles. Esto puede comprometer las contraseñas.
El atacante también podría rastrear la autenticación (kerberos), aunque esto es más difícil en los segmentos de red conmutados, y es básicamente imposible con 802.1x.
Kerberos en particular hace que este tipo de cosas sea bastante difícil de lograr. Por ejemplo, la contraseña solo se usa para generar una clave que se comparte entre el servidor y la estación de trabajo (el servidor conserva la clave, cambiándola solo cuando cambia la contraseña), por lo que realmente no hay una contraseña que descifrar. Esta clave se utiliza para asegurar las comunicaciones. Sin embargo, la clave es simétrica y un atacante podría, en teoría, rastrear cualquiera de los datos de kerberos que transitan por la red, encontrar la clave y luego encontrar una contraseña que genere esta clave (aunque honestamente la clave es suficiente). Esto es duro. Microsoft tiene un artículo que incluye detalles exactos de cómo funciona todo esto, incluido Kerberos .
Sin embargo, si está enlazando a AD como si fuera LDAP y está haciendo cosas como restablecer contraseñas o autenticarse utilizando el método simple, definitivamente debe proporcionar un certificado SSL y cifrar su tráfico.